آیین نامه اجرایی ماده (۳۲) قانون تجارت الکترونیک مصوب ۱۳۸۶

هيئت‌ وزيران در جلسه مورخ ۱۱ /۶ /۱۳۸۶ بنا به پيشنهاد مشترك وزارتخانه‌ هاي بازرگاني، ارتباطات و فناوري اطلاعات، امور اقتصادي و دارايي و دادگستري و معاونت برنامه‌ ريزي و نظارت راهبردي رييس‌ جمهور و به استناد ماده (۳۲) قانون تجارت الكترونيكي ـ مصوب ۱۳۸۲ ـ آيين ‌نامه اجرايي ماده ياد شده را به شرح زير تصويب نمود:

آيين ‌نامه اجرايي ماده (۳۲) قانون تجارت الكترونيكي

ماده ۱

در اين آيين ‌نامه، اصطلاحات زير در معاني مشروح مربوط به كار مي ‌روند:

الف ـ قانون: قانون تجارت الكترونيكي ـ مصوب ۱۳۸۲ ـ.

ب ـ شورا: شوراي سياستگذاري گواهي الكترونيكي، موضوع ماده (۲) اين آيين ‌نامه.

پ ـ مركز ريشه: مركز صدور گواهي الكترونيكي ريشه، موضوع بند (الف) ماده (4) اين آيين‌ نامه.

ت ـ مركز مياني: مركز صدور گواهي الكترونيكي مياني، موضوع بند (ب) ماده (۴) اين آيين‌ نامه است.

ث ـ دفاتر ثبت‌ نام: دفتر ثبت ‌نام گواهي الكترونيكي، موضوع بند (پ) ماده (۴) اين آيين ‌نامه.

ج ـ گواهي الكترونيكي: داده الكترونيكي حاوي اطلاعاتي در مورد مركز صادر كننده گواهي، مالك گواهي، تاريخ صدور و انقضا، كليد عمومي مالك و يك شماره سريال كه توسط مركز مياني توليد شده به گونه‌ اي كه هر شخصي مي ‌تواند به صحت ارتباط بين كليد عمومي و مالك آن اعتماد كند.

چ ـ داده ايجاد امضاي الكترونيكي: داده‌ اي انحصاري نظير رمز يا كليد خصوصي كه امضا كننده براي ايجاد امضاي الكترونيكي از آن استفاده مي ‌كند.

ح ـ داده وارسي امضاي الكترونيكي: داده‌ اي نظير رمز يا كليد عمومي كه براي بررسي و صحت امضاي الكترونيكي مورد استفاده قرار مي‌ گيرد.

خ ـ زوج كليد يا داده‌هاي ايجاد و وارسي امضاي الكترونيكي: كليد خصوصي و كليد عمومي مرتبط با آن در يك رمزنگاري نامتقارن.

د ـ طرف اعتماد كننده: شخصي است كه به اعتبار اطلاعات گواهي الكترونيكي اعتماد مي‌ كند.

ذ ـ مهر زماني: اعلاميه‌ اي شامل يك امضاي الكترونيكي كه به وسيله مركز مياني صادر شده و تأييد مي ‌كند كه داده پيام معين در موقع خاصي به او ارايه شده است.

ر ـ مخزن: يك پايگاه داده ذخيره و انتشار گواهيهاي الكترونيكي و اطلاعات مربوط به آنها جهت بهره‌ برداري طرفهاي اعتماد كننده است.

ز ـ تجهيزات ايجاد و وارسي امضاي الكترونيكي: نرم‌ افزار و يا سخت ‌افزاري كه به منظور اجراي داده ‌هاي مربوط به ايجاد و وارسي امضاي الكترونيكي استفاده مي ‌شود.

ژ ـ سياستهاي گواهي: مجموعه سياستهاي گواهي الكترونيكي مشتمل بر سياستها، قوانين، مقررات و روشهاي فني، حقوقي و ساختاري كه مطابق با استانداردهاي بين ‌المللي تدوين شده و حداقل خواسته ‌ها و الزامات پياده ‌سازي مراكز صدور گواهي، دفاتر ثبت‌ نام، صاحبان امضا و طرفهاي اعتماد كننده را مشخص مي‌ كند. تدوين اين سياستهاي گواهي براي مركز ريشه الزامي است و مي‌ تواند براي مركز مياني به طور جداگانه تنظيم گردد.

س ـ دستور‌العمل گواهي: مجموعه دستورالعملهايي كه منطبق با سياستهاي گواهي جهت تشريح جزئيات عملكرد مديريت گواهيهاي الكترونيكي در مركز ريشه و مراكز مياني تدوين مي ‌گردد.

ش ـ زير ساخت كليد عمومي: مجموعه ‌اي از نرم ‌افزارها، سخت ‌افزارها، سياستها، فرآيندها و روالهاي مورد نياز براي مديريت گواهيها و زوج كليدها.

ماده ۲ 

به منظور حفظ يكپارچگي و سياستگذاري در حوزه زير ساخت كليد عمومي كشور شوراي سياستگذاري گواهي الكترونيكي مركب از اعضاي زير تشكيل مي‌ شود:

الف ـ وزير بازرگاني يا معاون ذي‌ ربط وي (رييس)

ب ـ معاون ذي ‌ربط وزير دادگستري.

پ ـ معاون ذي‌ ربط وزير اطلاعات.

ت ـ معاون ذي‌ ربط وزير ارتباطات و فناوري اطلاعات.

ث ـ معاون ذي ‌ربط وزير امور اقتصادي و دارايي.

ج ـ معاون ذي ‌ربط وزير بهداشت، درمان و آموزش پزشكي.

چ ـ معاون ذي‌ ربط معاونت برنامه‌ ريزي و نظارت راهبردي رييس ‌جمهور.

ح ـ معاون ذي ‌ربط رييس كل بانك مركزي جمهوري اسلامي ايران.

خ ـ رييس اتاق بازرگاني و صنايع و معادن ايران.

د ـ رييس سازمان ثبت اسناد و املاك كشور.

ذ ـ رييس سازمان نظام صنفي رايانه‌ اي.

ر ـ دبير شوراي‌ عالي انفورماتيك.

ز ـ دبير شوراي‌ عالي فناوري اطلاعات.

ژ ـ رييس مركز توسعه تجارت الكترونيكي وزارت بازرگاني به عنوان دبير شورا (بدون حق رأي).

س ـ يك تا سه نفر مشاور خبره با پيشنهاد رييس و تأييد اكثريت ساير اعضاي شورا.

ش – معاون ذي ربط وزير امور خارجه

ص – معاون ذي ربط وزير كشور

ماده ۳ 

وظايف شورا به شرح زير تعيين مي ‌شود:

الف ـ بررسي سياستهاي كلان و برنامه هاي مربوط به حوزه زيرساخت كليد عمومي كشور و ارايه آن به شوراي‌ عالي فناوري اطلاعات كشور جهت تصويب.

ب ـ صدور مجوز ايجاد مركز ريشه.

پ ـ تصويب و به‌ روزرساني سياستها و دستورالعمل گواهي مراكز ريشه و مياني.

ت ـ تصويب استانداردها، رويه‌ها و دستورالعملهاي اجرايي گواهي الكترونيكي.

ث ـ ايفاي نقش به عنوان مرجع هماهنگ كننده در مورد فعاليت حوزه‌ هاي گوناگون اجرايي براي ارايه خدمات رايانه‌اي صدور گواهي مبتني بر زيرساخت كليد عمومي و نحوه تعامل مراكز صدور گواهي داخلي با مركز صدور گواهي خارجي و هرگونه تفسير يا كاربرد پذيري مفاد سياستهاي گواهي ريشه و مياني.

ج ـ نظارت عاليه و بررسي گزارش عملكرد و تخلفات احتمالي مراكز ريشه و مياني و در صورت لزوم لغو مجوز آنها.

ماده ۴ 

سطوح دفاتر خدمات صدور گواهي الكترونيكي موضوع ماده (۳۱) قانون به عنوان ارايه دهندگان خدمات گواهي الكترونيكي به شرح زير تعيين مي ‌شوند:

الف ـ مركز دولتي صدور گواهي الكترونيكي ريشه كه با كسب مجوز از شورا فعاليت مي ‌نمايد.

تبصره ۱ ـ اين مركز وابسته به مركز توسعه تجارت الكترونيكي، موضوع ماده (۸۰) قانون مي‌ باشد.

تبصره ۲ ـ سيستم بانكي مي‌ تواند با اخذ مجوز شورا در حوزه نظام بانكي مركز ريشه مستقل ايجاد نمايد كه در اين صورت مركز ياد شده وابسته به مركز توسعه تجارت الكترونيكي موضوع اين ماده نخواهد بود.

ب ـ مركز صدور گواهي الكترونيكي مياني كه با كسب مجوز از يك مركز ريشه، مبادرت به صدور گواهي الكترونيكي نموده و ساير خدمات مربوط به امضاي الكترونيكي را انجام مي ‌دهد.

پ ـ دفتر ثبت ‌نام گواهي الكترونيكي كه با كسب مجوز از حداقل يك مركز مياني نسبت به ثبت و انتقال درخواست متقاضيان در خصوص صدور و لغو گواهيها و ساير امور مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوي مراكز مياني كه تعهد همكاري با آنها را امضا نموده است، اقدام مي ‌نمايد.

ماده ۵ 

وظايف و مسئوليتهاي مركز ريشه به شرح زير تعيين مي‌ شوند:

الف ـ پيشنهاد سياستها و دستورالعمل گواهي مركز ريشه و ارايه به شورا جهت تصويب.

ب ـ اجراي سياستها و دستورالعمل هاي شورا.

پ ـ بررسي و تصويب سياستها و دستورالعمل مراكز مياني.

ت ـ بررسي و احراز شرايط لازم و صلاحيت متقاضيان ايجاد مراكز مياني و صدور مجوز براي آنها.

ث ـ حصول اطمينان از ثبت اطلاعات معتبر و مناسب در گواهيها و نگهداري مدارك و شواهد دال بر صحت اين اطلاعات.

ج ـ حصول اطمينان از عملكرد صحيح مراكز مياني.

چ ـ ابطال گواهي مراكز مياني كه برخلاف تعهداتشان عمل كرده‌اند.

ح ـ اطلاع ‌رساني به صاحبان امضا و طرفهاي اعتماد كننده در مورد هر گونه تغيير در كاركرد مركز مياني.

خ ـ ايجاد و به‌ روزرساني يك مخزن بر خط و اطلاع‌ رساني خدمات آن.

ماده ۶ 

مركز ريشه به محض قطع عمليات مركز مياني و زماني كه فعاليت اين مركز به موجب حكم مراجع قضايي و يا دليل ديگري متوقف شود و همچنين در صورت لغو مجوز مركز مياني بايد به روش مندرج در بند (خ) ماده (۵) اين آيين ‌نامه و درج در روزنامه رسمي جمهوري اسلامي ايران فهرست گواهيهاي باطل شده را منتشر نمايد.

تبصره ـ مسئوليت و نحوه پرداخت خسارت بابت ضرر و زيان ناشي از ابطال مركز مياني به صاحبان امضاي الكترونيكي صادر شده از اين مركز و يا به دفاتر ثبت نام بايد در دستورالعمل گواهي الكترونيكي مركز و يا در قرار‌داد منعقد شده بين طرفين قيد شده باشد.

ماده ۷ 

مراكز مياني حسب مورد توسط دستگاههاي دولتي يا بخش غيردولتي ايجاد مي‌ شوند و شرايط و ضوابط تأسيس مراكز مياني به شرح زير تعيين مي ‌شود:
الف ـ ارايه اساسنامه يا مجوز ثبت از مراجع ذي ‌ربط.
ب ـ ارايه تقاضا از طرف متقاضي
پ ـ معرفي پنج نفر داراي مدرك تحصيلي مرتبط مورد تأييد وزارتخانه‌هاي علوم، تحقيقات و فناوري و بهداشت، درمان و آموزش پزشكي با شرايط زير:
۱ ـ سه نفركارشناس داراي مدرك تحصيلي دانشگاهي و ترجيحاً داراي تجربه فعاليت مرتبط.
۲ ـ دو نفر با مدرك كارداني در رشته‌ هاي مرتبط با فناوري اطلاعات و ارتباطات يا حداقل سه سال تجربه در حوزه‌ هاي مرتبط با فناوري اطلاعات و ارتباطات همراه با مجوز طي‌ دوره آموزشي از مراكز فني و حرفه‌ اي.
ت ـ تأمين مكان فيزيكي مناسب همراه با تجهيزات سخت ‌افزاري و نرم‌ افزاري لازم اعلام شده از سوي مركز ريشه به نحوي كه امنيت فني و رمزنگاري را تضمين نمايد و مورد تأييد بازرسان مركز ريشه قرار گرفته باشد.
ث ـ ارايه تضمين معتبر متناسب با مبلغ تعيين شده توسط مركز ريشه.
ج ـ تدوين سياستها و دستورالعمل گواهي مركز.

تبصره ۱ ـ مراكز ريشه مكلفند ظرف دو ماه نسبت به بررسي تقاضا اقدام و نتيجه را به متقاضيان اعلام نمايند.

تبصره ۲ ـ مراكز مياني ايجاد شده توسط سازمانهاي دولتي به صورت غيرانتفاعي فعاليت خواهند نمود.

تبصره ۳ ـ مراكز مياني دولتي از ابتداي سال ۱۳۸۸ مجاز به ارايه خدمات گواهي الكترونيكي به بخشهاي غيردولتي خارج از حوزه فعاليت خود نمي ‌باشند.

تبصره ۴ ـ اشخاصي كه مجوز راه‌ اندازي مركز مياني را با ملاحظه شرايط اين ماده اخذ مي‌ نمايند مكلفند ظرف شش ماه از تاريخ صدور مجوز نسبت به تأسيس مركز اقدام نمايند. در غير اين صورت مجوز ايشان لغو شده تلقي مي ‌گردد.

ماده ۸ 

مراكز مياني در حين فعاليت با رعايت مفاد دستورالعمل گواهي، وظايف زير را به عهده خواهند داشت:
الف ـ بررسي صلاحيت و صدور مجوز براي دفاتر ثبت‌ نام ذي ‌ربط.
ب ـ تضمين ارايه خدمات صدور و لغو گواهيها به صورت مطمئن.
پ ـ تضمين ارايه خدمات تأييد صحت گواهيها به صورت سريع و مطمئن.
ت ـ تضمين محرمانه بودن داده‌ هاي مربوط به امضا در فرآيند ايجاد اين داده‌ ها براي جلوگيري از شبيه‌ سازي گواهيها.
ث ـ حصول اطمينان نسبت به موارد زير:
۱ ـ در لحظه صدور گواهي الكترونيكي، اطلاعات مندرج در گواهيها صحيح باشند.
۲ ـ در هنگام صدور گواهي الكترونيكي، امضا كننده مشخص شده در گواهي، داده ‌هاي ايجاد و وارسي امضاي الكترونيكي را دريافت نموده و داده ايجاد امضاي الكترونيكي تحت كنترل انحصاري وي باشد.
۳ ـ كليه اطلاعات مرتبط با گواهي الكترونيكي را تا مدت زمان تعيين شده در دستورالعمل گواهي به صورت الكترونيكي حفظ نمايد.
۴ ـ تاريخ و ساعت صدور و لغو يك گواهي به دقت تعيين شده و قابل تشخيص باشد.
۵ ـ عدم كپي يا ذخيره داده ايجاد امضاي الكترونيكي متقاضيان را تضمين نمايد.
۶ ـ گواهي قابل دسترسي براي عموم نباشد، جز در مواردي كه صاحبان گواهيها رضايت خود را اعلام كرده‌اند يا نوع گواهي انتشار عمومي را ايجاب نمايد.
۷ ـ در صورت امكان مركز مياني و با دريافت درخواست دفتر ثبت نام، يك مهر زماني به داده‌ هاي الكترونيكي ضميمه شود.

تبصره ۱ـ هر مركز مياني موظف است فهرستي از گواهيهايي را كه توسط آن مركز صادر مي ‌شود با ذكر تاريخ صدور، نام صاحب گواهي و نوع گواهي تهيه و منتشر نمايد. اطلاعات مزبور ‌بايد در جايگاه اينترنتي مربوط درج گردد.

تبصره ۲ـ مركز مياني بر عملكرد دفاتر ثبت‌ نام طرف قرارداد خود نظارت داشته و در صورت احراز تخلف طبق ضوابط با آن برخورد كرده و در صورت لزوم با رعايت تمهيدات پيش‌ بيني شده در دستورالعمل گواهي نسبت به لغو مجوز دفتر ثبت‌ نام متخلف اقدام خواهد نمود.

ماده ۹ 

مجوز مراكز مياني به طور ادواري، مطابق با سياستهاي گواهي و با ملاحظه شرايط و تحولات فناوريهاي جديد و پس از احراز مجدد صلاحيت متقاضيان، توسط مركز ريشه قابل تمديد مي‌ باشد.

ماده ۱۰

مجوز مراكز مياني صرفاً با تأييد مركز ريشه با ملاحظه شرايط مقرر در اين آيين‌ نامه و دستور‌العمل گواهي قابل واگذاري به غير خواهد بود.

ماده ۱۱

كليه مؤسسات اعم از دولتي يا غيردولتي مي‌ توانند در حوزه فعاليت داخلي خود بدون اخذ مجوز از مركز ريشه مبادرت به ثبت و صدور گواهي نمايند. گواهي هايي كه به اين صورت صادر مي ‌شود خارج از شمول مقررات اين آيين ‌نامه بوده و امضاهايي كه به وسيله اين گواهي ها تأييد مي‌شوند خارج از موضوع ماده (۱۰) قانون و صرفاً قابل استفاده در همان مؤسسات خواهد بود.

ماده ۱۲

دفاتر ثبت نام مي ‌توانند بنا به مورد توسط اشخاص حقيقي يا حقوقي اعم از دولتي يا غيردولتي ايجاد شوند. اشخاص حقيقي و نيز صاحبان امضاي اشخاص حقوقي متقاضي دريافت مجوز راه‌ اندازي دفاتر ثبت نام در كشور بايد داراي شرايط زير باشند:
الف ـ تابعيت جمهوري اسلامي ايران
ب ـ تدين و عامليت به احكام اسلام يا پيروي از اديان به رسميت شناخته شده در قانون اساسي.
پ ـ ندا‌شتن پيشينه كيفري.
ت ـ عدم تجاهر به فسق و داشتن صلاحيت اخلاقي و حُسن سابقه.
ث ـ عدم اعتياد به مواد مخدر.
ج ـ انجام خدمت وظيفه عمومي يا معافيت دايم.
چ ـ دارا بودن حداقل مدرك كارداني مورد تأييد وزارتخانه‌هاي علوم، تحقيقات و فناوري و بهداشت، درمان و آموزش پزشكي.
ح ـ ارايه ضمانت معتبر.
خ ـ داشتن سابقه كار حداقل سه سال متوالي يا پنج سال متناوب مورد تأييد مركز مياني در بخشهاي مرتبط با فناوري اطلاعات.

تبصره ۱ ـ نوع و ميزان ضمانت معتبر بر اساس دستورالعمل دفاتر صدور گواهي الكترونيكي مياني پيش ‌بيني مي‌ شود.

تبصره ۲ـ شعب بانكها به عنوان دفاتر ثبت نام مراكز مياني تحت نظارت مركز ريشه نظام بانكي از شمول اين ماده و ماده (۱۴) مستثني هستند.

تبصره ۳ ـ اشخاصي كه مبادرت به اخذ مجوز راه‌ اندازي دفتر ثبت‌ نام با ملاحظه شرايط اين ماده مي ‌نمايند مكلفند ظرف چهار ماه از تاريخ صدور مجوز نسبت به تأسيس دفتر اقدام نمايند. در غير اين صورت مجوز مذكور لغو شده تلقي مي ‌گردد.

تبصره ۴ـ متقاضي تأسيس دفتر ثبت‌ نام موظف به تأمين مكان فيزيكي مناسب مطابق دستورالعمل گواهي مياني طرف قرارداد و تهيه و نصب تابلو با درج شماره مجوز دريافتي از مركز يا مراكز مياني طرف قرارداد مي‌ باشد.

ماده ۱۳ 

وظايف دفاتر ثبت ‌نام به شرح زير مي ‌باشد:
الف ـ انجام عمليات مطابق با دستورالعمل گواهي مركز مياني مربوط.
ب ـ احراز هويت و تصديق مدارك ارايه شده متقاضي دريافت خدمات گواهي.
پ ـ ارسال درخواست متقاضي همراه با مدارك مربوطه به مركز مياني مربوط.
ت ـ دريافت گواهي صادر شده از مركز مياني مربوطه و تحويل به متقاضي.

ماده ۱۴

مجوز دفاتر ثبت ‌نام حداكثر براي سه سال صادر مي ‌شود. اين مجوز مطابق با دستورالعمل گواهي مياني و با لحاظ شرايط و تحولات فناوريهاي نوين پس از احراز صلاحيت متقاضيان توسط مراكز مياني قابل تمديد خواهد بود.

ماده ۱۵ 

دفاتر ثبت‌ نام موظفند هنگام ثبت نام متقاضي گواهي الكترونيكي، امضاي شخص را براي صحت اطلاعات ارايه شده (املايي و محتوايي) اخذ نموده و وي را از نحوه و شرايط دقيق استفاده از گواهيها، از جمله محدوديتهاي حاكم بر استفاده، خدمات و شيوه‌ هاي طرح و پيگيري دعوي مطابق سياستها و دستورالعمل گواهي مياني آگاه سازند.

ماده ۱۶ 

حق ‌الثبت دفاتر ثبت‌ نام، بر اساس نوع گواهي و خدمات ارايه شده به متقاضيان با رعايت مقررات بر اساس تعرفه ‌اي كه بنا به پيشنهاد شورا به تصويب هيئت‌ وزيران مي‌ رسد تعيين مي ‌شود.

ماده ۱۷ 

به منظور حفظ محرمانه بودن و غيرقابل دستيابي بودن داده‌ هاي ايجاد امضاي الكترونيكي از طريق استنتاج، مراكز مياني مكلفند از تجهيزات و روشهايي استفاده كنند كه داده‌ هاي ايجاد امضاي الكترونيكي مورد استفاده براي امضاي الكترونيكي بيش از يكبار استفاده نشده و در مقابل هر ‌گونه شبيه ‌سازي از طريق ابزارهاي فني محافظت و در برابر استفاده آن توسط اشخاص ثالث به نحو اطمينان بخشي محافظت شوند.

تبصره ـ اين تجهيزات و روشها نبايد داده ‌هاي لازم براي امضا را تغيير دهد و بايد تضمين نمايد كه اين داده‌ ها قبل از طي فرآيند امضا در اختيار امضا كننده قرار نگيرد.

ماده ۱۸

اعتبار و پذيرش گواهي الكترونيكي صادره از مراجع صدور گواهي خارجي، مشروط به توافق دو جانبه بين مركز ريشه كشور و مرجع صدور گواهي كشور خارجي با رعايت اصل شرط عمل متقابل و تصويب شورا خواهد بود.

ماده ۱۹ 

در موارد زير با حفظ سوابق موجود، گواهي الكترونيكي توسط مركز مياني صادر كننده آن، ابطال مي ‌شود:
الف ـ درخواست ابطال توسط صاحب گواهي الكترونيكي و يا وكيل قانوني وي.
ب ـ تخطي صاحب گواهي الكترونيكي از تعهداتش.
پ ـ احراز صدور گواهي مبتني بر اظهارات دروغ و اشتباه متقاضي.
ت ـ مشاهده تخلف صاحب گواهي و يا دفاتر ثبت نام و مركز مياني از مندرجات اين آيين‌ نامه. در اين صورت مركز ريشه دستور ابطال گواهي را صادر نمايد.
ث ـ احراز صدور گواهي الكترونيكي كه شامل اطلاعات شخص ثالث بوده و گواهي بدون رضايت وي صادر شده باشد.
ج ـ افشاي كليد خصوصي نزد ساير افراد غير مجاز.

ماده ۲۰ 

تمامي دستگاههاي اجرايي مكلفند مطابق برنامه زمانبندي شده ظرف دو سال از زمان ابلاغ اين آيين‌ نامه فناوري امضاي الكترونيكي مطمئن را در فعاليتها و فرايندهاي الكترونيكي حوزه عملكرد خود و سازمانهاي تابعه مورد استفاده قرار دهند و گزارش عملكرد خود را هر شش (۶) ماه يكبار به كميسيون امور اجتماعي و دولت الكترونيك ارايه نمايند.

معاون اول رئيس جمهور – پرويز داودي